Hvad er et VLAN?

Et virtuelt LAN (VLAN) er en logisk netværksgruppe, der begrænser broadcast domænet, og gør det muligt for netværksadministratoren at isolere netværkstrafikken. Datakommunikation er begrænset til VLAN-gruppen, hvilket betyder, at kun medlemmer af et VLAN , vil modtage trafik fra andre i samme VLAN. At skabe et VLAN fra en switch er det samme som at forbinde en gruppe netværksenheder til en Layer 2-switch, og så dele switchen midt over, sådan så halvdelen er forbundet til den ene switch og den anden halvdel til den anden. De kan nu derfor kun snakke med dem der er forbundet i deres egen del og ikke med de andre.

Et vlan kan også oprettes i en layer-3 enhed, ulempen ved at bevæge sig højere op i OSI modellen er, at det kræver flere ressourcer og dermed koster meget mere. Fordelen er at man får endnu et element af sikkerhed at arbejde med. Når det er router teknologi der står for opdelingen i separate VLAN, så kan man både dele de enkelte LAN i egne subnets og man kan indføre IP filtrering mellem de enkelte segmenter. IP filtrering er en meget mere finmasket måde at filtrere på og har mange flere muligheder end en simpel opdeling på porte. Typisk findes Layer 3 enheder i organisationer, der har rigtig godt styr på sikkerheden og hvor brugen af disse enheder, blot er et element af flere i et forsvar med muligheder for at fordybe sig omkring deling og styring af VLAN.

 

IEEE 802.1Q Tag VLAN

Netværksstandarden: IEEE 802.1Q tillader, at der kan indsættes ”VLAN Tags” i Ethernet pakker. Disse ”Tags” består af felter på 32 bit, der indsættes mellem MAC-adressen og Ethertype / Længde felterne i den oprindelige ramme. Hver pakke kan altså indeholde en VLAN ID, mens den bevæger sig gennem netværket. Det betyder, at pakkerne kan sendes videre til andre enheder gennem ”trunk links”, der er reserveret til dette formål. På den måde kan et VLAN altså fordeles over flere fysisk adskilte enheder.

 

Hvordan Forståes Vlan ID “tag”

  • Tag protocol identifier (TPID): Er et 16-bit felt til at sætte en værdi af 0x8100 for at kunne identifisere hvilken frame der er en IEEE 802.1Q-tagged frame. Dette felt er findes ved den position som EtherType/length feltet i untagged frames,  og bliver derfor brugt til at skelne mellem tagged frames og untagged frames.
  • Priority code point (PCP): Er et 3-bit felt som referer til IEEE 802.1p “class of service” og giver en frame dens priority level. Værdier i priority level er: 1 (background), 0 (best effort), 2 (excellent effort), 3 (critical application), 7 (network control). Disse værdier kan blive brugt til at prioritere forskellige klasser af trafik (voice, video, data, etc.).
  • Drop eligible indicator (DEI):Er et 1-bit felt. Som bliver brugt separat eller i forbindelse med PCP for at indikere frames der er kvalificeret til at blive kasseret i tilfælde af overbelastning.
  • VLAN identifier (VID): Er et 12-bit felt som specificerer hvilket  VLAN, hvilke frames tilhører. Hexadecimal værdierne 0x000 and 0xFFF er reseveret, men. alle andre værdier  kan blive brugt som  VLAN indikatorer, og tillader op til 4,094 VLANs. Den reserverede værdi 0x000 indikere at framet ikke tilhører noget VLAN; i dette tilfælde specificere 802.1Q kun en prioritet og bliver også refereret til som et “priority tag”.

 

For eksempel på konfiguration, se under -> Dokumenter -> Mine dokumenter -> Vlans Opgave